やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

【サーバセキュリティーDNSサーバ】平成22年春 応用情報技術者試験 午後 問9

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「サーバセキュリティ」の「DNSサーバ」を取り上げた「平成22年春 応用情報技術者試験 午後 問9」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成22年春 応用情報技術者試験 午後 問9

問9 DNSサーバのセキュリティ対策に関する次の記述を読んで、設問1〜4に答えよ。

 M社は、ある製品の開発、販売を手掛ける企業であり、東京本社のほかに、大阪と福岡に営業所をもっている。自社のホームページは東京本社に設置したWebサーバW1で運営しており、自社製品のショッピングサイトは同じく東京本社に設置した別のWebサーバW2を使っている。M社のWebサーバW1、W2のホスト名の情報は、東京本社に設置したDNSサーバD1で管理している。東京本社はインターネットサービスプロバイダ(以下、ISPという)Xと、大阪営業所及び福岡営業所はISP Yと契約してインターネットに接続している。M社のネットワーク構成を図に示す。また、M社のPCに設定されているDNSサーバの情報を表に示す。

f:id:aolaniengineer:20200114213004p:plain

f:id:aolaniengineer:20200114213033p:plain

 あるとき、掲載されている商品を確認するためにM社のショッピングサイトにアクセスしていた福岡営業所の社員Aさんから、①「ホームページのリンクをクリックしてショッピングサイトにアクセスしようとしたところ、いつも表示されるショッピングサイトとは違うサイトが表示された。」という報告が東京本社に入った。M社のネットワーク管理者Bさんが、東京本社と大阪営業所に在席する社員に指示し、各自のPCから、Aさんの報告と同様の手順でショッピングサイトにアクセスさせてみたところ、Aさんの報告のような状態にはならなかった。そこで、原因究明のためにセキュリティ対策会社であるN社に調査と対策の検討を依頼した。

①のような脅威の名称:キャッシュポイズニング(目的とは異なるサイトに誘導されて、その結果個人情報などを盗めれてしまう脅威)

 しばらくした後、Aさんから②「再度同様の手順でアクセスしたところ、今度は正しいショッピングサイトが表示された。」という報告が入った。

①の状態から②の状態に変化した理由:キャッシュの有効期限が切れたから

 DNSサーバでは、過去のDNS名前解決結果を一定時間記録(キャッシュ)しておき、次回以降はキャッシュした情報を利用することで、検索を早くできる仕組みを持っています。

 キャッシュには常に最新の情報を更新していくためのTTL(Time to Live:有効期限)が設定されています。

 調査を開始したN社の担当者Cさんは、東京本社に設置されているWebサーバW1、W2及びDNSサーバD1に改ざんの跡がないかを確認したが、コンテンツの異常や不正アクセスを示す証跡は発見されなかった。大阪営業所及び福岡営業所に設置されているPCのウィルスチェック結果やDNSサーバD2とD3の状態も確認したが、異常は発見されなかった。さらに、ISP X及びISP Yにインシデントの発生状況について問い合わせたが、当該期間での発生はないとの回答を受けた。

 調査結果から、Cさんは”DNSキャッシュポイズニング”が今回の現象の原因だろうと判断した。Cさんが取りまとめた調査結果の概略は、次のとおりである。

〔調査結果の概略〕

・福岡営業所で発生した現象は、DNSキャッシュポイズニングが原因だと推定される。

・具体的には、(a:DNSサーバD3)のDNSキャッシュに偽りの情報が一時的に埋め込まれていたので、Aさんからの報告の現象が発生した。

・DNSキャッシュポイズニングの攻撃手法は各種あるが、今回のものは2008年に公表されたカミンスキー・アタックである可能性が考えられる。

・(a:DNSサーバD3)のDNSソフトウェアのバージョンが古いのので、早急にカミンスキー・アタック対策を施した最新版を導入するべきである。

・DNSキャッシュポイズニングへの根本的な対応策としては、DNSサーバからの応答に公開鍵暗号方式で署名する(b:DNSSEC)の導入が望まれるが、利用可能になるまでに時間が必要である。現時点では、東京本社、大阪営業所、福岡営業所のPCが参照するDNSサーバに偽りの情報が埋め込まれる可能性を低減する工夫をするべきである。

a:DNSサーバD3

 福岡営業所のみで発生した現象であることから、DNSサーバD3でのDNSキャッシュポイズニングが原因と考えられます。

b:DNSSEC(DNS Security extensions)

 DNSにおける応答の正当性を保証するための拡張仕様のことで、ドメイン登録情報にディジタル署名を付加することで、正当な応答で改ざんされていないことを保証します。

 次は、調査完了後のBさんとCさんの会話である。

〔調査完了後の会話〕

C:今回の福岡営業所で発生した現象は、DNSキャッシュポイズニングが原因だったと思われます。DNSキャッシュポイズンングについては御存じですか。

B:名前は聞いたことがありますが、実際に発生したのを見たのは初めてです。

C:今後の対応策ですが、まずは今回の現象の内容について、M社全体に知らせた方が良いでしょう。

B:どのような内容で知らせたらようでしょうか。

C:第一報として、起こった事実を正確に伝えることが大切ですね。(c:東京本社の各サーバに問題が無かったこと)と、(d:福岡営業所のDNSサーバD3に問題があったこと)の2点は、必ず含めるようにしてください。DNSキャッシュポイズニングについては、別途時間を設けて、社員へのセキュリティ教育の一環で解説するのがよいと思います。

 要求したWebページと異なるページが表示された場合、まずはWebサイトの改ざんが疑われますが、今回は、DNSサーバのキャッシュが偽装されたということです。

B:分かりました。文案を考えて、社内のポータルサイトなどで知らせるように手配します。ところで、福岡営業所のPCのDNS設定はどうしたらよいでしょうか。ISP YのDNSサーバYに変更すればよいですか。

C:それよりも、大阪営業所と福岡営業所のPCに設定するDNSサーバを、東京本社に設置されているDNSサーバD1に変更したらどうでしょう。

B:全社のPCが同じDNSサーバを利用することで、管理対象のDNSサーバを一元化するわけですね。 そうすると、ネットワーク全体の運用管理も単純化できます。

C:イントラネット間は、現在使っているインターネット接続を使って結ぶのが経済的ですね。東京本社と大阪営業所、福岡営業所の間を、(e:インターネットVPN)で結ぶわけです。

B:そうするには、東京本社と大阪営業所、福岡営業所が一つのネットワークになるので、PCに割り当てる(f:IPアドレス)に重複がないか調査する必要がありますね。早速調べてみることにします。

e:インターネットVPN(Virtual Private Network)

 インターネットを専用線のように使う技術のことです。

C:DNSサーバD1は、現在DNSコンテンツサーバの機能(Webサーバなどの情報をインターネットに提供する機能)とDNSキャッシュサーバの機能(社内のPCなどからの問合せを中継する機能)を提供しています。DNSキャッシュサーバへの(g:社外)からのアクセスを制限するために、DNSコンテンツサーバとDNSキャッシュサーバの機能を分離した方がよいですね。

B:その場合、DNSキャッシュサーバはネットワークのどこに配置すべきでしょうか。

C:今のDNSサーバD1と同じDMZに置くことも可能ですが、できればPCなどが置かれているイントラネットがよいでしょう。東京本社のPCと同様のセキュリティポリシによって、ファイアウォールで保護するのが適切だと思います。

【出典:応用情報技術者試験 平成22年度春期午後問9(一部、加工あり)】